尝试暴力破解 Okta 用户帐户
编辑尝试暴力破解 Okta 用户帐户编辑
识别在 3 小时内 Okta 用户帐户被锁定 3 次的情况。攻击者可能会尝试进行暴力破解或密码喷洒攻击,以获取对用户帐户的未经授权访问。默认的 Okta 身份验证策略确保在 10 次身份验证尝试失败后锁定用户帐户。
规则类型:阈值
规则索引:
- filebeat-*
- logs-okta*
严重性:中等
风险评分: 47
运行频率:5 分钟
搜索索引范围:now-180m(日期数学格式,另请参阅 其他回溯时间)
每次执行的最大警报数: 100
参考:
标签:
- 用例:身份和访问审核
- 策略:凭据访问
- 数据源:Okta
版本: 208
规则作者:
- Elastic
- @BenB196
- Austin Songer
规则许可证:Elastic 许可证 v2
调查指南编辑
分类和分析
调查尝试暴力破解 Okta 用户帐户的行为
暴力破解攻击旨在通过穷举尝试和错误来猜测用户凭据。在这种情况下,Okta 帐户成为攻击目标。
当 Okta 用户帐户在 3 小时内被锁定 3 次时,此规则将触发。这可能表明有人试图进行暴力破解或密码喷洒攻击,以获取对用户帐户的未经授权访问。Okta 的默认身份验证策略会在 10 次身份验证尝试失败后锁定用户帐户。
可能的调查步骤
- 通过查看警报中的
okta.actor.alternate_id字段来识别与警报相关的参与者。这应该给出被攻击帐户的用户名。 - 查看
okta.event_type字段,以了解导致帐户锁定的事件的性质。 - 检查
okta.severity和okta.display_message字段,以获取有关锁定事件的更多上下文信息。 - 查找来自同一 IP 地址的事件的相关性。来自同一 IP 地址的多次锁定可能表明攻击来自单一来源。
- 如果 IP 地址不熟悉,请对其进行调查。该 IP 地址可能是代理、VPN、Tor 节点、云数据中心或已变为恶意的合法 IP 地址。
- 确定锁定事件是否发生在用户的常规活动时间内。异常的时间安排可能表明存在恶意活动。
- 通过检查
okta.authentication_context.credential_type字段,检查在锁定事件期间使用的身份验证方法。
误报分析
- 确定帐户所有者或内部用户是否在输入凭据时反复出错,从而导致帐户被锁定。
- 确保不存在可能导致这些事件的已知网络或应用程序问题。
响应和补救
- 立即通知用户和您的 IT 部门。
- 如果确认未经授权的访问,请启动您的事件响应流程。
- 调查攻击来源。如果特定机器或网络受到攻击,则可能需要采取其他步骤来解决该问题。
- 要求受影响的用户更改其密码。
- 如果攻击仍在进行中,请考虑阻止发起暴力破解攻击的 IP 地址。
- 实施帐户锁定策略以限制暴力破解攻击的影响。
- 鼓励用户使用复杂、唯一的密码,并考虑实施多因素身份验证。
- 检查受感染帐户是否被用于访问或更改任何敏感数据或系统。
设置编辑
要与此规则兼容,需要使用 Okta Fleet 集成、Filebeat 模块或结构相似的数据。
规则查询编辑
event.dataset:okta.system and event.action:user.account.lock
框架:MITRE ATT&CKTM
-
策略
- 名称:凭据访问
- ID:TA0006
- 参考网址:https://attack.mitre.org/tactics/TA0006/
-
技术
- 名称:暴力破解
- ID:T1110
- 参考网址:https://attack.mitre.org/techniques/T1110/